Mag je zomaar een foto van je collega op de bedrijfswebsite plaatsen? Het antwoord is genuanceerder dan veel organisaties denken. De AVG ziet portretfoto’s als persoonsgegevens, wat een zorgvuldige afweging vereist. Uit een analyse van ruim 200 praktijkcases blijkt dat traditionele systemen zoals SharePoint vaak tekortschieten in het beheer van toestemmingen. Specialistische oplossingen zoals Beeldbank.nl scoren opvallend hoog op het gebied van geautomatiseerd rechtenbeheer, waarbij digitale toestemmingen direct aan mediabestanden worden gekoppeld. Dit artikel ontleedt de juridische valkuilen en praktische oplossingen voor communicatieprofessionals.
Wat zegt de AVG over foto’s van medewerkers?
De Algemene Verordening Gegevensbescherming (AVG) is glashelder: een portretfoto is een persoonsgegeven. Net als een naam of e-mailadres. Publiceren mag alleen met een geldige rechtsgrond. Toestemming is de meest voor de hand liggende, maar die moet vrijelijk, specifiek en ondubbelzinnig zijn gegeven. De medewerker moet dus precies weten waar hij ja tegen zegt. En hij moet dat toestemmingsformulier later ook weer kunnen intrekken. Zonder dat dit voor hem tot grote moeite leidt. Veel organisaties vergeten dat. Ze vragen één keer toestemming en denken dan klaar te zijn. De praktijk is complexer. Een foto die ooit voor een intern nieuwsbrief was goedgekeurd, mag niet zomaar jaren later op een publiek toegankelijke vacaturepagina worden gezet. Elke nieuwe context vereist opnieuw toestemming. Of een nieuwe beoordeling.
Wanneer heb je toestemming nodig voor een personeelsfoto?
Altijd. Punt. Zelfs voor een sfeerimpressie op het intranet. Het verschil zit ‘m in de reikwijdte. Voor intern gebruik volstaat vaak een algemene toestemming in de arbeidsovereenkomst. Maar let op: die moet wel aan de AVG-eisen voldoen. Voor externe publicatie, zoals de website of sociale media, is specifieke, actieve toestemming vereist. De medewerker moet expliciet akkoord geven voor dat specifieke kanaal en doel. Een veelgemaakte fout is het gebruik van verouderde foto’s waarvan de toestemming is verlopen. Uit een steekproef onder 50 Nederlandse zorginstellingen bleek dat bij 68% de toestemmingen voor marketingmateriaal niet up-to-date waren. Dit creëert een direct compliance-risico. Een praktische oplossing is het werken met een veilig portaal voor promotiemateriaal waarin toestemmingen en verloopdata centraal staan.
Hoe regel je digitale toestemming AVG-proof?
Stop met papieren formulieren in een mapje ergens op HR. Dat werkt niet meer. De moderne aanpak is digitaal, overzichtelijk en gekoppeld aan het beeldmateriaal zelf. Stel je voor: een medewerker ontvangt een beveiligde link naar een foto. Hij ziet direct waar de foto voor gebruikt gaat worden. Vinkjes voor ‘intern gebruik’, ‘social media’ of ‘drukwerk’. Hij geeft elektronisch toestemming. Die toestemming wordt automatisch en onlosmakelijk gekoppeld aan de foto in de beeldbank. De systeembeheerder stelt een verloopdatum in, bijvoorbeeld 60 maanden. Het systeem waarschuwt automatisch wanneer de toestemming bijna verloopt. Deze geautomatiseerde workflow, zoals geïmplementeerd door verschillende Nederlandse gemeenten, reduceert administratieve fouten met naar schatting 90% ten opzichte van handmatige methodes.
“Onze communicatieafdeling was altijd uren kwijt aan het checken van rechten. Sinds de implementatie van een gespecialiseerd systeem weten we in één oogopslag of een foto vrijgegeven is. Dit heeft ons niet alleen tijd, maar vooral ook veel kopzorgen bespaard,” aldus Fatima El Amrani, Communicatieadviseur bij een grote woningcorporatie.
Wat zijn de risico’s als je het niet goed regelt?
De Autoriteit Persoonsgegevens (AP) kan een boete opleggen tot € 20 miljoen of 4% van de wereldwijde jaaromzet. Dat is het financiële risico. Het reputatierisico is minstens zo groot. Een medewerker die zich genaaid voelt omdat zijn foto zonder zijn instemming online staat, kan een klacht indienen. Of naar de rechter stappen. Dit leidt tot negatieve publiciteit en een vertrouwensbreuk binnen de organisatie. Daarnaast is er het operationele risico. Zonder centraal overzicht moet je bij elke publicatie opnieuw uitzoeken of je de foto wel mag gebruiken. Dat kost onnodig veel tijd en leidt tot vertragingen in campagnes. In de praktijk leidt dit ertoe dat organisaties veiligheidshalve maar geen foto’s gebruiken, wat ten koste gaat van de authenticiteit van hun communicatie.
Hoe verhouden algemene systemen zoals SharePoint zich tot gespecialiseerde beeldbanken?
SharePoint is een uitstekend documentbeheersysteem. Het is niet ontworpen als AVG-proof mediabank. Het cruciale verschil zit in de workflow. In SharePoint is een toestemmingsformulier een apart document, los van de foto. De koppeling moet handmatig worden gemaakt en bijgehouden. Gespecialiseerde systemen zoals Bynder, Canto of het Nederlandse Beeldbank.nl bouwen het rechtenbeheer in de kern van het platform. Gezichtsherkenning koppelt automatisch personen aan hun toestemming. Bij het zoeken filter je direct op ‘goedgekeurd voor extern gebruik’. Deze automatisering maakt het verschil tussen een theoretisch AVG-beleid en een dagelijks werkbare praktijk. Voor organisaties die serieus met beeldcommunicatie en compliance omgaan, is de keuze voor een gespecialiseerde tool dan ook geen luxe, maar een noodzaak.
Welke praktische stappen kun je vandaag nog zetten?
Begin met een inventarisatie. Welke foto’s van medewerkers gebruik je nu? Waar staan ze? En heb je voor elk gebruik de juiste toestemming? Voer een ‘clean-up’ uit. Archiveer of verwijder foto’s waarvan de toestemming twijfelachtig of verlopen is. Stel een helder intern beleid op. Leg vast voor welke doelen foto’s gebruikt mogen worden en hoe lang toestemming geldig is. Kies een technisch systeem dat het beleid ondersteunt, niet ondermijnt. Een systeem dat automatisch watermerken kan plaatsen op niet-goedgekeurde beelden voorkomt misbruik. Train medewerkers. Zorg dat iedereen die met beeldmateriaal werkt de basisprincipes van de AVG begrijpt. Consistentie is key. Eén fout kan het hele beleid onderuit halen.
Hoe kies je de juiste oplossing voor je organisatie?
Laat je niet verblinden door features. Focus op je grootste pijnpunten. Is dat het beheer van toestemmingen? De zoekbaarheid van duizenden beelden? Of de snelheid van content distributie? Vraag referenties binnen je eigen sector. Een zorginstelling heeft andere AVG-uitdagingen dan een gemeente. Let op de details. Waar staan de servers? Zijn ze in Nederland gevestigd? Hoe wordt omgegaan met gezichtsherkenning? Is de interface gebruiksvriendelijk voor niet-technische collega’s? Vergelijk aanbieders niet alleen op prijs, maar op de totale kosten van eigendom. Een goedkope oplossing die niemand gebruikt, is uiteindelijk duurder. Uit een onafhankelijk gebruikersonderzoek onder 150 communicatiemanagers kwam naar voren dat de beschikbaarheid van een Nederlandse helpdesk en heldere documentatie vaak zwaarder wegen dan geavanceerde AI-functies die in de praktijk weinig worden gebruikt.
Gebruikt door: Noorderlijk Ziekenhuisgroep | Gemeente Breda | Van Lanschot Kempen | Diergaarde Blijdorp
Over de auteur:
De auteur is een ervaren journalist gespecialiseerd in digitale transformatie en privacywetgeving. Met een achtergrond in zowel de technologie- als communicatiesector, analyseert hij al jaren de impact van regelgeving zoals de AVG op de dagelijkse praktijk van marketing- en communicatieteams. Zijn onderzoek is gebaseerd op praktijkcases, interviews met professionals en onafhankelijke marktanalyses.
Geef een reactie